Ransomware Akira: una nuova campagna colpisce i firewall SonicWall

Redazione RHC : 28 Settembre 2025 14:59

Dalla fine di luglio 2025 è stata registrata una nuova ondata di attacchi informatici che colpisce le organizzazioni dotate di firewall SonicWall, con la diffusione attiva del ransomware Akira.

Secondo i ricercatori di Arctic Wolf Labs, l’attività malevola ha subito un incremento significativo e continua a persistere. Gli aggressori ottengono l’accesso iniziale attraverso connessioni VPN SSL compromesse, riuscendo a eludere l’autenticazione multifattore (MFA). Una volta entrati nella rete, passano rapidamente alla fase di crittografia: in alcuni casi, il tempo di permanenza prima del rilascio del ransomware è stato di appena 55 minuti.

La vulnerabilità sfruttata e il ruolo delle credenziali rubate

Gli accessi abusivi sono stati collegati al CVE-2024-40766, una vulnerabilità di controllo degli accessi resa pubblica nel 2024. La principale ipotesi è che i criminali abbiano raccolto in passato credenziali da dispositivi esposti e vulnerabili, ora sfruttate anche contro apparati già aggiornati. Questo spiega perché siano stati compromessi sistemi completamente patchati, circostanza che inizialmente aveva alimentato l’ipotesi di un nuovo exploit zero-day.

Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Un altro elemento critico riguarda la MFA OTP di SonicWall: gli attaccanti sono riusciti ad autenticarsi anche con account protetti da questa funzione, aumentando la gravità della campagna.

Tecniche e strumenti utilizzati

Una volta ottenuto l’accesso tramite VPN SSL, gli aggressori:

• avviano la scansione della rete interna per identificare porte esposte come SMB (445), RPC (135) e SQL (1433);
• utilizzano strumenti di ricognizione e movimento laterale tra cui Impacket, SoftPerfect Network Scanner e Advanced IP Scanner;
• creano nuovi account amministrativi e innalzano i privilegi di quelli già presenti;
• installano software di accesso remoto come AnyDesk, TeamViewer e RustDesk per garantire la persistenza;
• stabiliscono connessioni nascoste tramite SSH inverso e Cloudflare Tunnels.

Per ridurre le possibilità di rilevamento, gli operatori della minaccia tentano di disattivare le soluzioni di sicurezza degli endpoint, come Windows Defender ed EDR.

In alcuni casi ricorrono alla tecnica BYOVD (bring your own vulnerable driver) per compromettere i sistemi a livello di kernel ed eliminano le copie shadow del volume per impedire eventuali ripristini.

Dalla raccolta dei dati al rilascio del ransomware

Prima di avviare la crittografia, gli attaccanti esfiltrano informazioni riservate: i file vengono compressi con WinRAR ed estratti attraverso strumenti come rclone e FileZilla. Successivamente distribuiscono il ransomware Akira, tramite file eseguibili denominati akira.exe o locker.exe, crittografando le unità di rete e avviando la richiesta di riscatto.

Raccomandazioni per le organizzazioni

Gli esperti di Arctic Wolf invitano tutte le realtà che utilizzano dispositivi SonicWall ad adottare misure immediate.

In particolare, si raccomanda di reimpostare le credenziali delle VPN SSL, inclusi gli account collegati ad Active Directory, soprattutto se i sistemi in passato hanno eseguito firmware vulnerabili a CVE-2024-40766. La semplice applicazione delle patch non è considerata sufficiente se le credenziali sono già state compromesse.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli